GESTIÓN DEL RIESGO

ISO 31000:2009

12P01-V2
 2

12P01-V2
 PLANEACIÓN
ESTRATEGICA

Procesos
Gestión
Objetivos
dirección Riesgo
sociales

Objetivos
financieros

Procesos
Objetivos
cliente
operacionales

Objetivos
procesos

Objetivos Procesos
innovación soporte

12P01-V2
Gestión Prospectiva
•Proyección y ordenamiento a futuro
•Prevención

Gestión Correctiva
• Acciones de reducción de vulnerabilidades y amenazas
• Mitigación

Gestión Reactiva
• Planes de Contingencia
• Preparación
• Planes de continuidad del negocio

44
12P01-V2
NTC ISO 31000:2011
55
12P01-V2
1. Estructura General de la ISO 31000

12P01-V2
Introducción
1. Objeto
2. Términos y definiciones
3. Principios
4. Marco de Referencia
5. Proceso
Anexo A: Atributos de la Gestión Mejorada del
Riesgo

77
12P01-V2
2. Principios de la gestión del riesgo

12P01-V2
Principios de la gestión del riesgo
• Crea y protege el valor.
• Es una parte integral de todos los procesos de la organización.
• Es parte de la toma de decisiones.
• Aborda explícitamente la incertidumbre.
• Sistemática, estructurada y oportuna.
• Se basa en la mejor información disponible.
• Está adaptada a la organización.
• Toma en consideración los factores humanos y culturales.
• Transparente e inclusiva.
• Dinámica, reiterativa y receptiva al cambio.
• Facilita la mejora continua de la organización.

99
12P01-V2
3. Términos y definiciones

10

12P01-V2
Términos y definiciones
2.1. Riesgo: efecto de la incertidumbre
sobre los objetivos
Nota 1: Un efecto es una desviación de aquello que se espera, sea
positivo, negativo o ambos.
Nota 2: Los objetivos pueden tener aspectos diferentes (por ejemplo
financieros, salud y seguridad, y metas ambientales) y se pueden aplicar
en niveles diferentes (estratégico, en toda la organización, en proyectos,
productos y procesos).
Nota 3: A menudo el riesgo está caracterizado por la referencia a los
eventos potenciales y las consecuencias o a una combinación de ellos.
Nota 4: Con frecuencia, el riesgo se expresa en términos de una
combinación de las consecuencias de un evento (incluyendo los cambios
en las circunstancias) y en la posibilidad de que suceda.
Nota 5: Incertidumbre es el estado, incluso parcial, de deficiencia de
información relacionada con la comprensión o el conocimiento de un
evento, su consecuencia o posibilidad

11

12P01-V2
 13
13
12P01-V2
Términos y definiciones
2.2 Gestión del riesgo. Actividades coordinadas para dirigir y
controlar una organización con respecto al riesgo

2.8 Proceso para la gestión del riesgo. Aplicación sistemática de

las políticas, los procedimientos y las prácticas de gestión a las
actividades de comunicación, consulta, establecimiento del
contexto, y de identificación, análisis, evaluación, tratamiento,
monitoreo y revisión del riesgo.

14

12P01-V2
a) Crear valor

b) Es parte integral de los

procesos de la organización Comando y
Establecimiento del contexto (5.3)
compromiso
c) Es parte de la toma de (4.2)
decisiones Valoración del riesgo (5.4)
d) Aborda explícitamnete la

Comunicación y consulta (5.2)

incertidumbre Identificación del riesgo (5.4.2)
Diseño del marco

Monitoreo y revisión (5.6)

e) Es sistemática, estructurada de referencia para
y oportuna la gestión del riesgo
(4.3)
f) Se basa en la mejor Análisis del riesgo (5.4.3)
información disponible
Mejora continua Implementación
g) Está adaptado del marco de la gestión
de referencia del riesgo
h) Toma en consideración a los (4.6) (4.4) Evaluación del riesgo (5.4.4)
factores humanos y culturales

i) Es tranasparente e in clusiva Diseño del marco

de referencia para
j) Es dinámica, reiterativa y la gestión del riesgo
Tratamiento del riesgo (5.5)
receptiva al cambio (4.3)

k) Facilita la mejora y realza

a la organización

Principios Marco de referencia Proceso

(numeral 3) (numeral 4) (numeral 5)

15
15
12P01-V2
Términos y definiciones
2.3 Marco de referencia para la gestión del riesgo.
Conjunto de componentes que brindan las bases y las
disposiciones de la organización para diseñar,
implementar, monitorear, revisar y mejorar
continuamente la gestión del riesgo a través de toda la
organización.
• Nota 1: Las bases incluyen la política, los objetivos, el comando y el
compromiso para gestionar el riesgo.
• Nota 2: Las disposiciones de la organización incluyen planes,
relaciones, rendición de cuentas (Accountability), recursos, procesos y
actividades.
• Nota 3: El marco de referencia para la gestión del riesgo está incluido
en las políticas y prácticas estratégicas y operacionales globales de la
organización.

16
16
12P01-V2
Términos y definiciones (ISO 31000)
• Actitud hacia el Riesgo
• Propietario del Riesgo
• Parte interesada
• Proceso para la gestión
del riesgo
• Plan para la gestión del
riesgo
• Evento
• Consecuencia
• Probabilidad
• Riesgo residual
• Contexto
interno/externo
• Valoración del riesgo
• Identificación del
Riesgo
• Fuente del riesgo
• Análisis del riesgo
• Criterios del riesgo
• Nivel del riesgo
• Evaluación del Riesgo
• Tratamiento del riesgo

17
17
12P01-V2
4. MARCO DE REFERENCIA PARA LA
GESTION DEL RIESGO

18

12P01-V2
Marco de Referencia

19
19
12P01-V2
 Establecimiento del contexto
FORTALEZAS / DEBILIDADES

Misión / Visión
Objetivos
Percepción y estratégicos
Objetivos
ORGANIZACIÓN Políticas de
Partes comunicación
interesadas
Partes
interesadas

OPORTUNIDADES / AMENAZAS

Contexto: Aspectos financieros, operacionales, competitivos, percepción /

imagen ante el publico, responsabilidad social, del cliente, culturales, legales

20
20
12P01-V2
 ESTRATEGIA DE NEGOCIOS

1) Análisis del entorno

• Análisis PESTA
• Diamante de Porter.
• Análisis de Industria

2) Análisis Interno
• Recuursos
• Capacidades

3) Matriz DOFA

4) Realizar entrevistas a los grupos de interés Identificación de necesidades.

5) Establecimiento de la estrategia
• Definición de ventajas competitivas.
• Identificación de Factores Claves de éxito.
• Determinación de objetivos y metas.

6) Declaración de la misión y visión

21

12P01-V2
3. MATRIZ DOFA

DEBILIDADES • Internas

OPORTUNIDADES • Externas

FORTALEZAS • Internas

AMENAZAS • Externas

22

12P01-V2
“La Empresa Social del Estado Hospital XXXXX, coherente con su
política de calidad, con los componentes y elementos que define el
MECI 1000:2005 y con los objetivos del Sistema Obligatorio de
Garantía de la Calidad para la Atención en Salud, busca proteger a
sus usuarios de los potenciales riesgos asociados a la prestación
del servicio, así mismo se compromete a establecer los
mecanismos necesarios para evitar, reducir, compartir y asumir los
riesgos relacionados con el desarrollo de sus procesos y que
pudieran afectar negativamente a las personas, las instalaciones,
los bienes y los equipos; para tal efecto realizará la identificación,
análisis, valoración e intervención de los riesgos inherentes al
quehacer institucional, contribuyendo de esta forma al logro de los
objetivos y a la Misión de la Empresa”.

23
23
12P01-V2
Proceso de gestión del riesgo

P H
A V

24

12P01-V2
 Principales elementos del proceso de
COMUNICACIÓN Y CONSULTA gestión del riesgo

MONITOREO Y REVISION
Establecer el contexto

Identificar los riesgos

EVALUACION DEL RIESGO

Analizar los riesgos

Evaluar los riesgos

Tratar el riesgo

25

12P01-V2
Proceso de gestión del riesgo

Comunicación y
consulta

27

12P01-V2
Términos y definiciones
2.12. Comunicación y consulta: Procesos continuos y reiterativos
que una organización lleva a cabo para suministrar, compartir u
obtener información e involucrarse en un diálogo con las partes
involucradas con respecto a la gestión del riesgo

La consulta es :
• un proceso que tiene impacto en la decisión a través de la
influencia más que del poder; y
• una entrada para la toma de decisiones, no para la toma
conjunta de decisiones

28

12P01-V2
Términos y definiciones
Nota 1: La información se puede relacionar con la existencia, la
naturaleza, la forma, la probabilidad (likelihood), el significado, la
evaluación, la aceptabilidad y el tratamiento de la gestión del riesgo.

Nota 2: La consulta es un proceso de doble vía de la comunicación

informada entre una organización y sus partes involucradas, acerca de
algún tema, antes de tomar una decisión o determinar una dirección para
dicho tema

29

12P01-V2
Comunicación y consulta
La comunicación y consulta son importantes en el proceso de
gestión del riesgo por que:

• Hace la gestión explicita y relevante

• Agrega valor a la organización
• Integración de perspectivas
• Desarrollo de la confianza
• Mejora de la determinación del riesgo
• Tratamiento efectivo de riesgo

30

12P01-V2
Comunicación y consulta
Proceso de comunicación
• Identificación de las partes interesadas
• Plan de comunicación y consulta
– Los objetivos de la comunicación
– Los participantes que deben estar incluidos
– Perspectivas de los participantes
– Los métodos de comunicación por usar
– El proceso de evaluación por usar

31

12P01-V2
Proceso de gestión del riesgo

Establecer el
contexto

32

12P01-V2
Términos y definiciones
2.9. Establecimiento del contexto: Definición de los parámetros
internos y externos que se han de tomar en consideración cuando
se gestiona el riesgo, y establecimiento del alcance y los criterios
del riesgo para la política para la gestión del riesgo

33

12P01-V2
Establecimiento del contexto

Al establecer el contexto, la organización articula sus objetivos,

define los parámetros externos e internos que se van a considerar
al gestionar el riesgo y establece el alcance y los criterios del
riesgo para el resto del proceso. Aunque muchos de estos
parámetros son similares a aquellos que se consideran en el
diseño del marco de referencia para la gestión del riesgo, al
establecer el contexto del proceso para la gestión del riesgo, es
necesario que estos parámetros se consideren en mayor detalle y,
en particular, la manera como se relacionan con el alcance del
proceso para la gestión del riesgo particular.

34

12P01-V2
Entender la Organización y su contexto

35
35
12P01-V2
 Establecimiento del contexto
El contexto externo puede incluir, entre otros:
• Partes involucradas externas / partes interesadas
• Requisitos legales y reglamentarios
• El ambiente social y cultural, político,
CONTEXTO
EXTERNO

• El ambiente financiero, económico, natural y competitivo

• El contexto internacional, nacional, regional o local;
• Los factores tecnológicos
• Los impulsores clave y las tendencias que tienen
impacto en los objetivos de la organización; y
• Las relaciones con las partes involucradas externas y
sus percepciones y valores

36

12P01-V2
 Establecimiento del contexto
El contexto interno que puede incluir, entre otros:
• El gobierno, estructura de la organización, funciones y
responsabilidades;
• La cultura de la organización y sus procesos
• Las políticas, objetivos y las estrategias implementadas
CONTEXTO
INTERNO

para lograrlos;
• Los factores productivos
• Las relaciones con las partes involucradas internas y sus
percepciones y valores;
• Los sistemas de información, flujos de información y
procesos de toma de decisiones (tanto formales como
informales);
• Las normas, directrices y modelos adoptados por la
organización; y forma y extensión de las relaciones
contractuales.

37

12P01-V2
Proceso de gestión del riesgo

Identificación del
riesgo

38
38
12P01-V2
 ESTE ES UN EVENTO DE
RIESGO MUY SIMPLE !!

QUE VEMOS ?

CUAL ES LA FUENTE ?

CUAL ES LA PROBABILIDAD?

CUAL ES LA CONSECUENCIA?

39
39
12P01-V2
Términos y definiciones

2.15. Identificación del riesgo:

Proceso para encontrar,
reconocer y describir el riesgo.

Nota 1: La identificación del riesgo implica la identificación de las fuentes de riesgo,

los eventos, sus causas y sus consecuencias potenciales.
Nota 2: La identificación del riesgo puede involucrar datos históricos, análisis teóricos,
opiniones informadas y expertas, y las necesidades de las partes involucradas

40

12P01-V2
 Identificación del riesgo Recomendaciones!!!!
Es importante identificar los riesgos asociados a la
no búsqueda de una oportunidad.
La identificación debería incluir los riesgos
independientemente de si su origen está o no bajo
control de la organización, aún cuando el origen del
riesgo o su causa pueden no ser evidentes.
La identificación del riesgo debería incluir el examen
de los efectos colaterales de las consecuencias
particulares, incluyendo los efectos en cascada y
acumulativos.
También se debería considerar un rango amplio de
consecuencias incluso si el origen del riesgo o su
causa pueden no ser evidentes. Al igual que la
identificación de lo que podría suceder, es necesario
considerar las causas y los escenarios posibles que
muestran que las consecuencias se podrían presentar

41

12P01-V2
Identificación del riesgo: Componentes
• Aquello que tiene el potencial intrínseco para
Fuente hacer daño o generar oportunidades

Evento / • Aquello que ocurre, de manera que la fuente

Incidente de riesgo genera un impacto

• Un resultado o impacto sobre un grupo de

Consecuencia partes involucradas y recursos

• El qué y por qué de la presencia del peligro o

Causa evento que ocurre

Controles • Controles establecidos y su nivel de eficacia

Cuando / • Cuando puede ocurrir el riesgo y dónde puede

Donde ocurrir

42
42
12P01-V2
Fuente

•Infraestructura
•Talento Humano
•Tecnología
•Información
•Marco legal
•Recursos monetarios

43
43
12P01-V2
 Fuente
• Estratégicos. Atienden la relación de la entidad con su misión
constitucional, los ciudadanos y la comunidad.
• Financieros. Atienden la relación de la entidad con el manejo del
presupuesto asignado.
• De proyectos. Atienden los riesgos relacionados con alcance, cronograma y
costos del proyecto.
• Operacionales. Son los típicos derivados de fallas de tecnología, procesos,
recursos humanos, fraude interno o externo, eventos de la naturaleza.
• De seguridad de la información. Relacionados con activos de información.
• Reputacionales. Derivados de otros riesgos o mediáticos.
• Corrupción: relacionados con el soborno, extorsión, lavado de activos,
• Legales. Derivados de otro riesgos o puros.

44
44
12P01-V2
 45
45
12P01-V2
Evento / Incidente

Eventos que podrían crear, aumentar,

prevenir, degradar, acelerar o retrasar el
logro de los objetivos

46
46
12P01-V2
Consecuencia: Un resultado o
impacto sobre un grupo de partes involucradas
y recursos

47
47
12P01-V2
 FUENTE O
OBJETIVOS METAS FACTOR EVENTOS CAUSA CONSECUENCIA
Disminuir el riesgo de
accidente o
enfermedades 0 Enfermedades
profesionales 0 Accidente Talento humano
Tecnología
Medio Ambiente
Capacitación
constante en salud
ocupacional
orientadas a la
prevención.
Conocimiento de los
riegos de cada
Método puestos de trabajo
Maquinaria
No se cuenta con los
elementos de
protección personal
Materiales requeridos

48
48
12P01-V2
Proceso de gestión del riesgo

Análisis del riesgo

49
49
12P01-V2
 Términos y definiciones

2.21. Análisis del riesgo:

Proceso para
comprender la naturaleza
del riesgo y determinar el
nivel de riesgo.

Nota 1: El análisis del riesgo proporciona las bases para la evaluación del
riesgo y las decisiones sobre el tratamiento del riesgo
Nota 2: El análisis del riesgo incluye la estimación del riesgo

50
50
12P01-V2
 Análisis del riesgo

Suministra una entrada para las

decisiones sobre si es necesario
tratar los riesgos y las estrategias del
tratamiento del riesgo más
adecuadas y eficaces en términos de
costo.
El análisis del riesgo incluye
considerar las fuentes de riesgo, sus
consecuencias positivas y negativas
y la probabilidad de que dichas
consecuencias puedan ocurrir.

51
51
12P01-V2
Análisis del riesgo

52
52
12P01-V2
Análisis del riesgo
A fin de evitar ser subjetivos, al analizar las consecuencias y la
probabilidad, se recomienda emplear los mejores recursos y
técnicas de información disponibles:
a) registros pasados;
b) experiencia pertinente;
c) práctica y experiencia industrial;
d) literatura publicada pertinente;
e) marketing de ensayo e investigación de mercado;
f) experimentos y prototipos;
g) modelos económicos, de ingeniería y otros;
h) juicios de especialistas y expertos (Modelos).

53
53
12P01-V2
 Análisis del riesgo Recomendaciones!!!

• No deje de considerar ningún riesgo significativo ni ninguna mejora viable.

• Tenga en cuenta en forma coordinada factores de la condición de trabajo y

del acto humano.

• Establezca si los equipos y su operación tienen riesgos aceptables o

tolerables. Reduzca los riesgos en orden de importancia y viabilidad.

• Que el estudio sea completo y no se pase nada por alto (causas y efectos).

• Que el estudio sea consistente con el método elegido.

• Disciplina en la identificación y análisis.

• Grupos de 3 a 6 personas: Especialistas adicionales solo cuando se

requieran. Visita detallada a la planta.

• Conocimientos suficientes para formular y contestar las preguntas que se

realicen.
54
54
12P01-V2
Análisis del riesgo: Probabilidad

Nivel Probabilidad Descripción

Se espera que ocurra en la mayoría de las

A Casi cierto
circunstancias.
Puede probablemente ocurrir en la mayoría
B Probable
de las circunstancias.
C Posible Es posible que ocurra algunas veces.

D Improbable Podría ocurrir algunas veces.

Puede ocurrir solamente en circunstancias
E Raro
excepcionales.
Nota: los criterios deben darle capacidad de gestión del riesgo a la
organización.

55
55
12P01-V2
 Análisis del riesgo: Consecuencia
Nivel Consecuencia Descripción

1 Insignificante Nivel de daño y pérdidas financieras pequeñas.

Pérdida financiera media; tratamiento de primeros

2 Menor auxilios en el sitio; efectos ambientales detenidos en
el sitio.
Pérdida financiera alta; requiere tratamiento médico;
3 Moderada
descargas se detienen en el sitio con ayuda externa.
Pérdidas financieras considerables; lesiones grandes;
4 Mayor pérdidas de capacidad de producción; descargas
fuera del sitio sin efectos perjudiciales.
Pérdida financiera enorme; muerte; liberación de
5 Catastrófica
tóxicos fuera del sitio con efecto perjudicial.
Nota: los criterios deben darle capacidad de gestión del riesgo a la
organización.

56
56
12P01-V2
Determinación de PROBABILIDAD (DAFP)

57
57
12P01-V2
Determinación de IMPACTO (DAFP)

58
58
12P01-V2
 NIVEL DE REDUCCION SEGURIDAD Y MEDIO AMBIENTE HERENCIA SOCIAL COMUNIDAD, LEGAL
SEVERIDAD DE SALUD Y CULTURAL GOBIERNO,
UTILIDADES REPUTACION, MEDIOS

Muchas Enjuiciamientos y
> 500 muertes o multas
Muy alto millones efectos significativas
significativos
irreversibles Daño ambiental
>50 personas muy grave y a
largo plazo, de
Una sola las funciones del Problemas Protestas graves al Violación mayor
muerte y/o ecosistema sociales en curso. público o de los de los
Alto > 400 discapacidad Daño significativo medios (cobertura reglamentos.
millones severa a elementos de internacional) Litigios mayores
irreversible importancia
(>30%) a una cultural
ó más
personas
Discapacidad Efectos Atención significativa Violación grave
> 300 o daño ambientales adversa a los medios, de los
Medio millones irreversible graves a término público, ONG reglamentos, con
moderado medio investigación o
(<30%) a una informe a la
ó más autoridad, con
personas enjuiciamiento
y/o posibles
Discapacidad Efectos Problemas Atención de los hallazgos
> 200 objetiva pero moderados a sociales en curso. medios, preocupación moderados
Bajo millones reversible que corto plazo, que Daño permanente intensificada por la
requiere no afectan las a elementos de comunidad local.
hospitalizació funciones del importancia Críticas de las ONG
n ecosistema cultural
No se Efectos menores Impactos Atención médica o Aspectos legales,
requiere sobre el medio ambientales quejas adversas no
Muy bajo > 100 tratamiento ambiente sociales menores menores del público conformidades y
millones médico a mediano plazo, local violaciones
sobre la población menores
local. En su
mayoría es
59
59
subsanable
12P01-V2
Análisis del riesgo: Nivel de posibilidad

DESCRIPCION DESCRIPCION FRECUENCIA DE APARICION

Casi seguro El evento ocurrirá anualmente Una vez al año o con más frecuencia
Muy posible El evento ha ocurrido varias veces o más Una vez cada tres años
durante su carrera

Posible El evento podría ocurrir una vez durante su Una vez cada diez años
carrera

Improbable El evento ocurre en algún lugar, de vez en Una vez cada treinta años
cuando

Raro Ha oído de que algo similar ocurre en otro Una vez cada 100 años
lado

Muy raro Nunca ha oído que esto ocurra Una vez cada 1000 años
Casi increíble Teóricamente posible, pero no se espera que Una vez cada 10000 años
ocurra

60

12P01-V2
Análisis del riesgo: Nivel de posibilidad

DESCRIPTIVO DEFINICION
Severa La mayoría de los objetivos no se pueden lograr
Mayor Algunos objetivos importantes no se pueden lograr
Moderada Algunos objetivos afectados
Menor Efectos menores que se remedian fácilmente
Insignificante Impacto insignificante sobre los objetivos

DESCRIPCION DESCRIPCION DERSCRIPCION ALTERNATIVO

Probable Se puede esperar que ocurra durante el Buenas oportunidades
proyecto
Posible No se espera que ocurra durante el proyecto Oportunidades bajas o constantes
Improbable Imaginable pero extremadamente improbable Oportunidades pobres
que ocurra durante el proyecto

61

12P01-V2
Análisis del riesgo: Nivel de riesgo

Clase de Clase de consecuencias

posibilidad
1 2 3 4 5
A Media Alta Alta Muy alta Muy alta
B Media Media Alta Alta Muy alta
C Baja Media Alta Alta Alta
D Baja Baja Media Media Alta
E Baja Baja Media Media Alta

Riesgo alto o muy alto: se necesita atención de la alta dirección,

especificar planes de acción y responsabilidad de la dirección.
Riesgo medio: Gestionar mediante procedimientos de monitoreo o
respuesta específicos, con responsabilidad especificada de la alta
dirección.
Bajo riesgo: Gestionar mediante procedimientos de rutina, es poco
probable que se necesite la aplicación específica de recursos.

62

12P01-V2
Análisis del riesgo: Nivel de riesgo

PROBABLE
PROBABILIDAD RIESGO MEDIO RIESGO ALTO

IMPROBABLE

RIESGO BAJO RIESGO MEDIO

MENOR MAYOR

CONSECUENCIA

Valores de las celdas=unidades de riesgo para clasificación únicamente

63

12P01-V2
Análisis del riesgo: Nivel de riesgo

CONSECUENCIAS

MENOR MODERADA MAYOR

IMPROBABLE BAJO BAJO MEDIO

PROBABILIDAD

POSIBLE BAJO MEDIO ALTO

PROBABLE MEDIO ALTO ALTO

Acción inmediata, especificar planes de acción y atención de la alta dirección

Gestionar mediante procedimientos de monitoreo o respuesta específicos

Gestionar mediante procedimientos de rutina, es improbable que se necesite

la aplicación específica de recursos

64

12P01-V2
 65
65
12P01-V2
 66
66
12P01-V2
Proceso de gestión del riesgo

Evaluación del
riesgo

67

12P01-V2
Términos y definiciones

2.24 Evaluación del riesgo.

Proceso de comparación de los
resultados del análisis del riesgo
con los criterios del riesgo, para
determinar si el riesgo, su
magnitud o ambos son
aceptables o tolerables.

Nota: La evaluación del riesgo ayuda en la

decisión acerca del tratamiento del riesgo.

68

12P01-V2
Evaluación del riesgo
El propósito de la evaluación del riesgo es tomar decisiones,
basadas en los resultados del análisis del riesgo, sobre los riesgos
que necesitan tratamiento y las prioridades del tratamiento.

Los criterios utilizados para la toma de decisiones deben ser

consistentes con:
• El contexto de gestión del riesgo definido (interno y externo)
• Objetivos de la organización
• Puntos de vista de las partes interesadas

69

12P01-V2
Evaluación del riesgo

Las decisiones pueden estar basadas

en el nivel del riesgo, pero también
pueden estar basadas en:
• Consecuencias específicas.
• La posibilidad de eventos o
resultados especificados.
• El efecto acumulativo de muchos
eventos.
• El rango de incertidumbre para los
niveles de riesgo.

70

12P01-V2
Evaluación del riesgo
Prob. Consecuencias
1 2 3 4 5
A H H E E E
B M H H E E
C L M H E E
D L L M H E
E L L M H H
Nota: los criterios y categorías deben darle
capacidad de gestión del riesgo a la
organización.
E Riesgo extremo. M Riesgo moderado.

H Alto riesgo. L Riesgo inferior.

71

12P01-V2
 72
72
12P01-V2
 73
73
12P01-V2
 74
74
12P01-V2
Proceso de gestión del riesgo

Tratamiento del riesgo

75

12P01-V2
Términos y definiciones
2.25. Tratamiento del riesgo. Proceso para modificar el
riesgo.
Nota 1: El tratamiento del riesgo puede implicar:
− evitar el riesgo decidiendo no iniciar o continuar la actividad que lo originó
− tomar o incrementar el riesgo con el fin de perseguir una oportunidad
− retirar la fuente del riesgo
− cambiar la probabilidad
− cambiar las consecuencias
− compartir el riesgo con una o varias de las partes (incluyendo los contratos y la financiación
del riesgo)
− retener el riesgo a través de la decisión informada.
Nota 2: En ocasiones se hace referencia a los tratamientos del riesgo relacionados con
consecuencias negativas como "mitigación del riesgo", "eliminación del riesgo", "prevención del
riesgo" y "reducción del riesgo".
Nota 3: El tratamiento del riesgo puede crear riesgos nuevos o modificar los existentes

76

12P01-V2
Tratamiento del riesgo
El tratamiento del riesgo involucra la selección de una o más
opciones para modificar los riesgos y la implementación de tales
opciones. Una vez implementado, el tratamiento suministra
controles o los modifica.

El tratamiento del riesgo implica un proceso cíclico de:

• valoración del tratamiento del riesgo;
• decisión sobre si los niveles de riesgo residual son tolerables;
• si no son tolerables, generación de un nuevo tratamiento para el
riesgo; y
• valoración de la eficacia de dicho tratamiento.

77

12P01-V2
Tratamiento del riesgo
Las opciones para el tratamiento del riesgo no necesariamente son
mutuamente excluyentes ni adecuadas en todas las
circunstancias.
Las opciones pueden incluir las siguientes:
• Evitar el riesgo al decidir no iniciar o continuar la actividad que lo
originó;
• Tomar o incrementar el riesgo para perseguir una oportunidad;
• Retirar la fuente de riesgo;
• Cambiar la probabilidad;
• Cambiar las consecuencias;
• Compartir el riesgo con una o varias de las partes, (incluyendo
los contratos y la financiación del riesgo); y
• Retener el riesgo mediante una decisión informada

78

12P01-V2
 El tratamiento

SOLUCIONE
COSTO TIEMPO EFICACIA IMPACTO PUNTAJE
Posibles soluciones

SOLUCIÓN 1 3 1 2 3 18
SOLUCIÓN 2 2 2 2 2 16
SOLUCIÓN 3 3 3 2 3 54

3 = ALTO
2 = MEDIO
1 = BAJO

79

12P01-V2
Formato Mapa de Riesgos

80
80
12P01-V2
Proceso de gestión del riesgo

Monitoreo y revisión

81

12P01-V2
Tratamiento del riesgo
La información suministrada en los planes de tratamiento debería
incluir:
• La evaluación del costo / beneficio que se espera obtener
• Responsables de aprobar el plan
• Responsables de implementarlo
• Acciones propuestas
• Requisitos de recursos, incluyendo las contingencias;
• Medidas y restricciones de desempeño;
• Requisitos de monitoreo y reporte
• Tiempo y cronograma.

82

12P01-V2
Términos y definiciones
2.28 Monitoreo. Verificación, supervisión, observación crítica o
determinación continuas del estado con el fin de identificar
cambios con respecto al nivel de desempeño exigido o esperado.
Nota 1: El monitoreo se puede aplicar al marco de referencia para
la gestión del riesgo, al proceso para la gestión del riesgo, al riesgo
o al control.

2.29 Revisión. Acción que se emprende para determinar la

idoneidad, conveniencia y eficacia de la materia en cuestión para
lograr los objetivos establecidos.
Nota 1: La revisión se puede aplicar al marco de referencia para la
gestión del riesgo, al proceso para la gestión del riesgo, al riesgo o
al control

83

12P01-V2
Monitoreo y revisión
El monitoreo y la revisión son parte esencial e integral de la
gestión del riesgo y son uno de los pasos más importantes del
proceso de la gestión del riesgo en el ámbito organizacional. Es
necesario monitorear la eficacia y la conveniencia de las
estrategias para implementar los tratamientos de riesgos y el plan
de gestión el mismo.

84

12P01-V2
Monitoreo y revisión

85

12P01-V2
Monitoreo y revisión
Considerar los riesgos más significativos en la organización y a
partir de estos definir indicadores asociados a las causas que los
generan.

Monitorear los riesgos y la eficacia de las medidas de control.

86

12P01-V2
COMPORTAMIENTO AGOSTO 2011 - COMPARADO CON EL MISMO PERIODO
PARA LOS AÑOS 2007, 2008 , 2009, 2010 y 2011.

Tecnologia Recurso Humano

2011 28 2011 18
2010 26
2010 6
2009 22
2008 16
2009 17
2007 3 2008 9
0 5 10 15 20 25 30 0 5 10 15 20

El factor de riesgo de tecnología presenta un crecimiento
del 8% en el año 2011 con respecto al 2010. Actualmente
se están elaborando planes de acción especialmente para
mitigar los riesgos relacionados con pagarés. En lo que
respecta a reportes, existe un plan piloto.
Procesos
2011 5
El factor de riesgo de Recurso Humano, presenta en el
año 2011 un crecimiento del 200% respecto al año 2010.
La administración de operaciones desarrolló un estrategia
de acercamiento al personal para informar de lo
acontecido. En la reunión de metas del BSC con todo el
personal, el Presidente recordó la importancia de mejorar
en el desempeño de cada uno y en la necesidad de
capacitarse adecuadamente. A todos los jefes de área se
les ha recordado la necesidad de mejorar mediante
capacitación en los procesos.

2010 4
El factor de riesgo de Procesos, presenta en el año 2011
un crecimiento del 25% respecto al año 2010. La áreas
2009 19 de Operaciones, Riesgos, Tecnología y Jurídica ya han
implementado planes de acción para mitigar este
riesgo.
2008 12
87
0 5 10 15 20 87
12P01-V2
 PERFIL DE RIESGO A JUNIO 30 DE 2011

PERFIL DE RIESGO 2010 4.44

Aumento en el nivel de riesgo.
Requiere de mayores acciones
de control.
PERFIL DE RIESGO 2011 4.40

Categoría 2010 2011

Riesgos Calificación Riesgos Calificación
Muy alto 0 5.00 0 5.00
Alto 1 2.75 9 2.58
Medio 88 4.00 87 4.05
Bajo 174 4.68 176 4.67
Total 263 4.44 272 4.40

88
88
12P01-V2
 PARTICIPACIÓN EN EL TOTAL DE RIESGOS

114
110
120
100
Áreas que aumentaron su participación en el número
80 de riesgos: Operaciones (4), riesgos (1), comercial (1),

62
61
60 financiera y administrativo (1) y auditoría (2).
40 2010 Operaciones representa el 42% de los riesgos de
26
26

24
23

13
12
12

12

12
12
20 2011 Deceval. Lo que quiere decir que todas las demás áreas

9
7
0 debemos contribuir a su administración.
Operaciones

Riesgos
Tecnología

Comercial

G. Humana
Jurídico

Auditoría
Fin. y Admin

CALIFICACIÓN INDIVIDUAL
Áreas que mejoraron:
4,70 •Financiera y Administrativa
4,60 •Gestión Humana
4,50
4,40
4,30 Áreas que desmejoraron:
4,20
2010 •Tecnología
4,10
4,00 2011 •Operaciones
3,90 •Riesgos
3,80
•Comercial
Auditoría
Operaciones
Jurídico

Comercial
Tecnología

Riesgos

G. Humana
Fin. y Admin

Áreas que se mantuvieron:

89
•Jurídico
PERFIL Sin
DE Mejoró Empeoró
cambio
•Auditoría 89
12P01-V2
RIESGO:
Monitoreo y revisión: Evaluación de madurez

1 2 3 4 5
La Junta Directiva y Comités de Riesgo
la Gerencia Se reconoce
patrocinan la
a Nivel de la Junta
Ni Junta Directiva necesidad de Directiva y Alta
administración de administrar el riesgo
ni gerencia riesgo, pero no La Junta Directiva y Gerencia
enfatizan en toda la empresa
tienen mecanismos y se comienza un alta gerencia Administración y
administración del para ejecutarlas con
proceso de respaldan con la evaluación del
riesgo éxito. definición de una riesgo en toda la
sensibilización.
No existen Falta de enfoque y política de riesgos organización
lenguaje común para Existe una
metodologías administrar los identificación de Existe un Comité Lenguaje y enfoque
homologadas riesgo riesgos en todos los de Riesgo. comunes
para la procesos, pero no
Los riesgos son La responsabilidad Evaluación
administración de es sistémica y
manejados por cada
frecuente. en la adecuada del
riesgos área de manera administración de riesgo en todos los
intuitiva y Base de datos con riesgos depende de procesos del
No existen desintegrada. datos históricos, cada proceso negocio
mecanismos de La administración de pero sin integración
reportes formales para la toma de Tratamiento y
riesgos es
responsabilidad del decisiones Optimización del
área de auditoría riesgo

90

12P01-V2